23 Giugno 2021: questo è il giorno in cui verrà avviata la fase di test del perimetro di cybersicurezza dell'Italia. Il test durerà ben 6 mesi, durante i quali verrà valutata la tenuta ed efficacia complessiva del sistema di regole che l'Italia ha elaborato ed implementato per proteggersi dalle cyber minacce: al termine del test e tenendo conto dei risultati, il sistema di regole verrà rivisto e corretto.
Il 23 Giugno saranno passati due anni dall'approvazione del D.l 105 del 2019, le cui previsioni sono state le fondamenta sul quale è stato costruito il nostro piano di cyber security nazionale: sono comunque ben 4 i decreti che saranno necessari per implementare l'intero piano di cybersecurity nazionale ed armonizzarlo nel contesto della risposta ai cyber attacchi dell'Unione Europea. All'origine infatti dell'intero percorso italiano c'è lo sforzo a livello europeo di coordinare e armonizzare, cooperando, la risposta ai cyber attacchi: sforzo contenuto e riassunto dalla Direttiva Europea 1148/2016, detta Direttiva NIS. Si tratta di un provvedimento con il quale, per la prima volta, è stato affrontato a livello europeo il tema della cibersecurity, definendo le misure necessarie a indicare il livello di sicurezza delle reti e dei sistemi informativi e, inoltre, la notifica degli incidenti subiti.
Per approfondire > LA DIRETTIVA NIS – Network and Information Security
Il test del piano di cybersecurity nazionale punterà i riflettori su tutti quei soggetti destinatari del piano, ovvero i gestori delle infrastrutture critiche (trasporti pubblici, servizi finanziari, telecomunicazioni, energia, welfare, difesa, sicurezza interna, spazio, pubblica amministrazione, alta tecnologia ecc..): tutti questi soggetti dovranno dimostrare non solo di aver adottato sufficienti ed adeguate misure di cyber security, ma anche di sapere applicare e rispettare i protocolli di segnalazione degli attacchi. Il D.l 105 del 2019 stabiliva proprio, in prima battuta, i soggetti (enti ed asset) "intorno ai quali" costruire il perimetro di cybersecurity, secondo ovviamente l'importanza dell'asset o dell'ente e dei rischi potenziali per l'Italia in caso di compromissione. Molto probabilmente, nel giro di qualche anno, il numero di questi soggetti andrà ad aumentare: sanità e centri di ricerca sono già con un piede, almeno teorico, dentro il perimetro.
Va detto che la Ditettiva NIS (attualmente in fase di revisione) indica soltanto il grado minimo di tutela che è necessario implementare, lasciando poi a ciascuno stato membro di stabilire eventuali altri livelli: dal DIS già fanno sapere che è molto molto probabile che a stretto giro venga richiesto ad alcuni importanti ospedali di aderire.
Per approfondire > Perimetro di sicurezza nazionale cibernetica: nuovo passo avanti
A Maggio invece arriverà il decreto che normerà le notifiche e le misure di sicurezza, mentre a Giugno un apposito decreto individuerà ed elencherà le categorie di prodotti tecnologici da sottoporre a screening preventivi, quindi ad Agosto dovrebbe arrivare il provvedimento che indicherà requisiti e modalità di accreditamento dei laboratori che dovranno svolgere tali controlli. Entro Agosto quindi l'intero impianto legale del perimetro di cyber security nazionale dovrebbe essere completamente delineato.
Il test in breve
Il test in avvio misurerà principalmente come gli operatori riusciranno a far funzionare i protocolli. Due sono gli scenari previsti: il primo è un incidente che ha evidenza pubblica, come un dump di dati personali. In questo caso l'operatore ha un'ora per notificare l'incidente allo Csirt nazionale, la nostra cabina di regia nazionale per la sicurezza informatica, la quale, ricevuta la segnalazione, dovrà valutare l'eventuale coinvolgimento di altri soggetti o la messa in atto di contromisure specifiche.
In tutti gli altri casi ci sono 6 ore per lanciare l'allarme. In caso di mancato rispetto dei tempi e dei protocolli, i soggetti rei subiranno sanzioni che possono variare da 200.000 a 1.8 milioni di Euro. Nessuna sanzione sarà però comminata nel corso del test: le sanzioni saranno erogabili a partire dal 1 Gennaio 2022. Difficilmente quindi potranno ripetersi eventi come il furto dati nascosto per mesi dal ministero dello Sviluppo Economico, che con il perimetro attivo rischierebbe sanzioni di entità diverse e ben più pesante da quelle che gli ha riservato il Garante italiano.
I controlli sulle tecnologie
Anche le tecnologie dovranno subire un processo di verifica prima di essere adottate: l'idea, banale va detto, è di verificare la sicurezza di ciò che si installa prima di installarlo. Tale compito è affidato al Centro di valutazione e certificazione nazionale presso il MISE, che però sta arruolando 70 tecnici specializzati con apposito bando per poter operare con le competenze necessarie: sicuramente saranno comunque accreditati anche laboratori esterni, che saranno scelti secondo precisi criteri di qualità.
Sullo sfondo campeggia uno scenario geopolitico sempre più complesso e teso, nel quale il 5G gioca un ruolo importante ma non esauriente.
Nessun commento:
Posta un commento